|
+ f( z& @, Y. a. b 数据是任何组织最具价值的资产之一,包括财务往来记录、重要客户与潜在客户详细信息等等。有效地利用这些数据能够对商业决策、营销和销售效率等方面产生积极的作用。 7 ^$ [" z2 z0 L( K* u- g9 C9 B
全球数据安全现状不容客观
8 ~# Q$ x. n3 G' z$ R3 o' ]' ^- e 近两年来,和数据泄露相关的新闻频频“霸榜”。数据保护不到位带来的高风险和高损失足以让管理人员如坐针毡。 下面这些数据都说明了数据安全现状不容乐观的现状:% n. Z: d8 K: d, ]# C$ d" h) I4 b
每起数据泄露事件的平均财产损失为710万美元,平均每条数据记录221美元(资料来源:IBM)。
5 ^& E# E+ ?' a 2011年的数据泄露事件达468起,2012年达到1175,2013年达到1731起(数据来源:Veris社区数据库)。 " K$ E: @9 j2 h. f3 {9 P
三分之二(63%)的单位承认自己在部署IT基础设施时未考虑数据安全措施(来源:Thales Security)。 / Q: R* A+ c( H' q3 d% q$ S) f
6 K9 z% r/ ~( d1 r 尽管安全意识和安全投入正在不断提高,但从安全事件和损害程度的统计数据来看,数据安全的整体趋势仍在恶化。 2 Q" l* E* b( ~& |# u
面对那么多的安全解决方案,我们应该如何选择才能尽可能地避开数据泄露带来的安全问题?世平信息认为以下六项举措是数据安全保护中的必要工作。
2 B. x* r& S) a6 T3 T7 _1 | 明确数据内容与存储位置 8 b+ l9 k+ o" }& c4 m8 ]7 o
“我有哪些数据?它们分别存储在哪里?”
5 `+ k1 k: W8 B0 z+ E4 W 建立一个好的数据安全策略首先需要了解组织内部存在的数据内容与存储位置,以及对应的责任人。
# P; O, k1 n! b! G5 ?! C$ b 建立并维护一个数据资产日志有利于你所部署的防御措施恰到好处地保护所有的数据资产。
7 z8 R2 r8 E* A8 ` 安全意识的培训
9 ]* k0 E% S7 ~3 d* o 数据隐私与安全是GDPR中的关键组成部分,因此,确保员工们意识到隐私保护重要性这一点极其重要。
0 i; ]- B! S- M 最普遍也是最具破坏性的错误往往都是人为造成的。例如,一个包含客户个人信息的U盘或笔记本电脑的丢失或被盗会对企业的声誉造成恶劣的影响,还会带来高昂的罚款。 & x, O5 T& s* B- A1 H6 @
因此,开展员工安全意识培训是帮助员工意识到数据资产价值以及安全处理数据的有效手段。
2 G/ ^. b' \% ]! H" k7 p 梳理员工对敏感数据的访问权限并做到权限最小化
5 a$ p3 v/ M3 U8 j( H 大部分大型数据泄露事件都是由于内部员工造成的,因此严格控制数据访问权限和数据获取权限就显得尤为重要了。这也就是我们常说的最小权限原则。 & e/ ~+ b0 P g9 ^
此外,数据水印技术也有助于防止员工恶意盗取数据,并确保发生数据泄露时的溯源追踪。
/ ?! |( n4 }! o7 E3 \ 数据水印的工作原理是在数据库中添加唯一的跟踪记录(被称为“种子”),并全程监视数据的使用方式——即使该数据已经离开该组织的活动范围。 . e: [, G3 F k. C
开展数据风险评估
/ R$ I% ~1 ?) [" q& V 定期进行风险评估,发现组织内部的潜在风险。评估范围应包括方方面面,从数据泄露风险到物理威胁(如停电)。这项工作能够帮你发现目前数据安全系统中的脆弱点,并从每一次的评估工作中,不断优化组织的数据保护计划,降低会带来高昂经济损失的数据安全风险。
2 Z5 B% }7 m3 s6 [ 安装杀毒软件并定期扫描
+ {" @3 V6 L5 Y' N- s7 Q9 p 拒绝“裸奔”这个步骤是最重要也是最基础的。通过主动防御和定期扫描能够降低由黑客和恶意软件带来的数据泄露风险,避免重要数据落入不法分子之手。 " \* Z( H# Y( ]* p% ^, F# x
当然,没有任何一款软件能够完全阻止黑客的入侵,但长远来看,一个优秀的安全软件能够在很大程度上保护数据的安全。 & n% b- E; ^" }! z5 }
定期备份重要的和敏感的数据
$ q u- m+ o9 s% f) k6 n- B! ? 定期备份这一点往往容易被忽视,但访问的连续性是数据安全的一个重要表现之一,按照适合自身的备份周期进行定期备份非常重要。
* v- A, @6 _1 ~: K, O 一旦发生数据泄露或业务中断事件,业务成本将迅速飙升,启动备份数据是及时止损的最有效的方式。另外,对于备份系统的安全保护至少也应达到运行业务系统的保护水平。 # X' Z' K/ r' ]1 |' s0 k3 d
世平数据安全治理方案
2 N7 Q/ L6 u3 {, b 明确具体数据内容与存储位置、梳理敏感数据访问权限(权限最小化)、安全意识培训以及定期的数据风险评估都是数据安全治理方案中的组成部分。
7 Z) @6 ^5 @3 N* D1 d! r
9 P0 y6 ~0 Z" `0 n& R+ m9 K( ]
3 x/ u9 E7 D; Z9 h4 ]+ r" D$ y6 E 世平数据安全治理应用体系
' C" K$ F8 {7 H; ~ 数据安全治理应用体系为在用户业务梳理、数据分类分级的基础上建立的全套数据安全防护体系。
C* j" m1 p. S1 s/ l! u 体系上层是安全策略的制定,包括在数据分类分级粒度上的防护架构策略、身份权限管控策略、数据风险管理策略、数据全生命周期安全管控策略和安全检查评估策略等。
2 e" }* T& |9 q/ g$ L+ O+ l 然后按安全策略建立的安全管理系统,包括安全组织机构、安全管理制度、文档安全管理系统和敏感数据管理系统,这是一整套规则体系,可定义为数据资产安全管控体系。
/ c0 {( h/ [% a! V$ R 在安全策略与管理系统之下是整套规则的落地措施,即将各项规则落实、嵌入到具体安全措施的部署实施之中,这些安全措施包含三大方面——中间的安全防护部署措施、左边的检查评估实施措施和右边的安全服务实施措施。 # y* k$ D1 j: g4 f. l
数据安全治理应用体系的底层为数据技术支撑,这是有效落实各项数据治理、安全防护和检查评估措施,实现针对敏感数据的精准靶向监控的关键技术手段,包括业务梳理模式、数据分类分级技术、数据抽取解析技术、数据内容识别匹配技术、数据水印标记技术和数据加密解密技术等。 更多信息详询: 400 100 6790% `, F7 b w0 a: x/ Y1 r
杭州世平信息科技有限公司(简称“世平信息”),致力于智能化数据管理与应用的深入开拓和持续创新,为用户提供数据安全、数据治理、数据共享和数据利用解决方案,帮助用户切实把握大数据价值与信息安全。 # _: ~ g v: t# @. {
+ a: `$ s; @9 W2 ^0 Z. N - y$ d! l: s7 {8 H& y" `* o
近期热点企业如何应对日趋严格的数据监管,避免巨额罚款?RSA2019:世平信息王世晞谈数据安全行业趋势如何做好国家秘密与工作秘密的泄露防护如何发现并分析APP个人信息收集是否违规?
1 d5 i& I B( B
- ?- _$ c! ~' C# ?# C4 T5 V4 a
: P9 i3 x0 v& F4 N
7 _( v8 }9 {: c- O* {# L2 ]5 R& y1 I# G
* @/ p# f! n1 z" d" W8 a
- J, u7 L$ M# o6 c: ~
5 q' ^+ v: _7 n' ~$ Y# K |